V pondělí 7. dubna byla v oblíbené kryptografické knihovně OpenSSL, která je široce používána s aplikacemi a webovými servery, nalezena velká zranitelnost známá jako „Heartbleed“. Stránky a služby na internetu jsou tedy zaneprázdněny opravou této chyby zabezpečení a aktualizací certifikátů SSL, aby chránily své zákazníky. Jak již bylo řečeno, OpenSSL v1.0.1 až 1.0.1f (včetně) jsou zranitelné a OpenSSL 1.0.1g vydaný 7. dubna 2014 tuto chybu opravuje.
Říká úryvek z Heartbleed.com,
Heartbleed Bug je vážná chyba zabezpečení v populární knihovně kryptografického softwaru OpenSSL. Tato slabina umožňuje ukrást informace chráněné za normálních podmínek šifrováním SSL/TLS používaným k zabezpečení internetu. SSL/TLS poskytuje zabezpečení komunikace a soukromí přes internet pro aplikace, jako je web, e-mail, rychlé zasílání zpráv (IM) a některé virtuální privátní sítě (VPN).
Chyba Heartbleed umožňuje komukoli na internetu číst paměť systémů chráněných zranitelnými verzemi softwaru OpenSSL. To umožňuje útočníkům odposlouchávat komunikaci, krást data přímo ze služeb a uživatelů a vydávat se za služby a uživatele.
Zkontrolujte, zda váš web nebo telefon Android není ovlivněn chybou Heartbleed –
Existují některé služby, které vám mohou sdělit, zda web, kterému jste svěřili své informace, byl nebo je stále zranitelný a kdy byl aktualizován jeho certifikát.
Test Heartbleed Filippa Valsordy – filippo.io/Heartbleed
Zadejte adresu URL nebo název hostitele pro testování vašeho serveru na Heartbleed (CVE-2014-0160). Můžete zadat port takto example.com:4433. 443 ve výchozím nastavení.
LastPass Heartbleed checker – lastpass.com/heartbleed
Podívejte se, zda je web zranitelný vůči Heartbleed. Zobrazuje serverový software webu, říká, zda byl zranitelný a zda je certifikát SSL nyní bezpečný a kdy byl naposledy vytvořen.
Chromebleed (rozšíření Google Chrome)
Zobrazí varování, pokud je web, který si prohlížíte, ovlivněn chybou Heartbleed. Zkontroluje adresu URL stránky pomocí služby Filippo. Užitečné, pokud nechcete stránky kontrolovat ručně.
Mashable sestavil zajímavý seznam dobře známých stránek, kde uvádí jejich aktuální stav, zda byly ovlivněny a zda byste si měli změnit heslo.
Heartbleed Detector pro Android –
Uživatelé Androidu mohou snadno zkontrolovat, zda je jejich zařízení Android zranitelné vůči chybě HeartBleed, pomocí bezplatné aplikace s názvem „Heartbleed Detector“ od společnosti Lookout Mobile Security. Aplikace určuje, jakou verzi OpenSSL vaše zařízení používá. Pokud vaše zařízení používá jednu z dotčených verzí OpenSSL, zkontroluje, zda je konkrétní zranitelné chování povoleno nebo ne.
Pokud je však vaše zařízení zranitelné, nemůžete podniknout žádné nezbytné kroky, pokud společnost Google nebo výrobce vašeho zařízení nevydá opravu.
Štítky: AndroidSecurity